Λογισμικό της NSA πίσω από την τελευταία επίθεση με ransomware

Λογισμικό της NSA πίσω από την τελευταία επίθεση με ransomware
Find me

Χρήστος Φράγκου

Intelligence Director at Crisis Monitor
Διευθυντής Πληροφοριών στο Crisis Monitor και επικεφαλής του συντονιστικού συμβουλίου της Crisis Zone, δημοσιογράφος, με ειδίκευση στα οικονομικά, τραπεζικά και διεθνή θέματα.
Συνδέοντας τις κουκίδες μπορούμε να καταλήξουμε σε αποτελέσματα, αν δεν τις συνδέσουμε θα παραμείνουμε στο σκοτάδι.
Εχει διατελέσει επί δέκα σχεδόν έτη διευθυντής του sofokleousin.gr και έχει διατελέσει σε επιτελικές θέσεις σε αρκετά ακόμα έντυπα και ηλεκτρονικά μέσα.
Find me

Κομμάτια λογισμικού της NSA που λέγεται Eternal Blue περιλαμβάνει το ransomware που χτύπησε υπολογιστές σε 60 χώρες και αρχικά αναγνωρίστηκε ως petya.

Διαφήμιση

Σύμφωνα με το Reuters, ο ιός φαίνεται να περιλαμβάνει κώδικα που είναι γνωστός ως «Eternal Blue» και θεωρείται ότι εκλάπη από την NSA, καθώς και ότι χρησιμοποιήθηκε στην επίθεση με το λογισμικό WannaCry τον Μάιο.

Ερευνητές εκτιμούν πως η επίθεση ίσως δανείστηκε κώδικα που είχε χρησιμοποιηθεί σε παλαιότερες «εκστρατείες» με ransomware, όπως στην περίπτωση των ιών Petya και GoldenEye.

Εμπειρογνώμονες υποστηρίζουν ότι ανακάλυψαν «εμβόλιο» για τη μεγάλη κυβερνοεπίθεση η οποία έπληξε φορείς ανά τον κόσμο την Τρίτη. Το patch με τη δημιουργίας ενός μόνο αρχείου επιχειρεί να αποτρέψει τη μόλυνση του υπολογιστή από τον ιό της επίθεσης. Ωστόσο, μέχρι τώρα δεν έχει βρεθεί κάποιο «kill switch» το οποίο θα εμπόδιζε την εξάπλωση του κακόβουλου λογισμικού και σε άλλους υπολογιστές. Η δημιουργία ενός read-only αρχείου, ονόματι perfc, και η εγκατάστασή του στον φάκελο C:\Windows φαίνεται να αποτρέπει την επίθεση. Λεπτομέρειες σχετικά με το πώς γίνεται αυτό ανέβασε η ιστοσελίδα Bleeping Computer, και, σύμφωνα με το BBC, είναι μια λύση την οποία επικυρώνουν πολλοί ερευνητές ασφαλείας.
Ωστόσο, αν και η συγκεκριμένη μέθοδος είναι αποτελεσματική, προστατεύει μόνο τον υπολογιστή όπου βρίσκεται το συγκεκριμένο αρχείο. Μέχρι τώρα, όπως προαναφέρθηκε, δεν έχει βρεθεί τρόπος πλήρους απενεργοποίησης της κυβερνοεπίθεσης με ransomware- οπότε και ο ιός συνεχίζει να εξαπλώνεται, αν και πιο αργά από ό,τι στην περίπτωση του WannaCry.

Μέχρι τώρα η προέλευση και ο πραγματικός σκοπός της επίθεσης παραμένουν άγνωστα. Δεδομένου ότι τα λύτρα που ζητούνται – 300 δολάρια- είναι μάλλον μικρά ως ποσό, κάποιοι εικάζουν πως η επίθεση ίσως στην πραγματικότητα να είναι «βιτρίνα» για ενέργειες με σκοπό την πρόκληση μεγαλύτερων προβλημάτων ή ενέργεια με κάποιου είδους πολιτικό πρόσημο.

Μεταξύ των θυμάτων της επίθεσης ήταν η ουκρανική κεντρική τράπεζα, η ρωσική πετρελαϊκή Rosneft, η βρετανική διαφημιστική WPP, η ναυτιλιακή Maersk και η αμερικανική DLA Piper. Επίσης, επηρεάστηκε τουλάχιστον ένα νοσοκομείο στο Πίτσμπεργκ.

Περισσότερο επηρεάστηκαν από την κυβερνοεπίθεση η Ρωσία και η Ουκρανία, σύμφωνα με την Kaspersky Lab, με άλλα θύματα να βρίσκονται σε χώρες ανά τον κόσμο, περιλαμβανομένων της Βρετανίας, της Γαλλίας, της Γερμανίας, της Ιταλίας, της Πολωνίας και των ΗΠΑ. Πάντως, οι επιπτώσεις της επίθεσης θεωρείται πως θα είναι μικρότερες αυτής του WannaCry, επειδή πολλοί υπολογιστές είχαν λάβει patches στο πλαίσιο updates των Windows μετά την επίθεση του προηγούμενου μήνα.

Διευθυντής Πληροφοριών στο Crisis Monitor και επικεφαλής του συντονιστικού συμβουλίου της Crisis Zone, δημοσιογράφος, με ειδίκευση στα οικονομικά, τραπεζικά και διεθνή θέματα. Συνδέοντας τις κουκίδες μπορούμε να καταλήξουμε σε αποτελέσματα, αν δεν τις συνδέσουμε θα παραμείνουμε στο σκοτάδι. Εχει διατελέσει επί δέκα σχεδόν έτη διευθυντής του sofokleousin.gr και έχει διατελέσει σε επιτελικές θέσεις σε αρκετά ακόμα έντυπα και ηλεκτρονικά μέσα.